IT Security Certificeringen

[ Voor 87% gewijzigd door Liegebeest op 15-12-2010 05:31 ]

Dear Whizzer:
Congratulations!

cailin_coilleach schreef op dinsdag 14 december 2010 @ 21:40:
[afbeelding]

Collega van me ook, wij beiden op onze eerste poging. Ik heb zes maanden gestudeerd en een week lang een review klas gehad. Hij heeft drie maanden voor z'n SSCP gestudeerd en daarna op de bonnefooi z'n CISSP ook gedaan. En nog gehaald ook!

Nu Whizzer nog!

Rukapul schreef op maandag 21 februari 2011 @ 21:57:
Ik mag hopen dat er geen enkele toko is die mensen aanneemt op basis van certificering welke niet gestaafd wordt door werkervaring. (Bij CISSP sowieso niet mogelijk.)

Het klinkt dus een beetje als het paard achter de wagen spannen.

LordMorgoth schreef op woensdag 23 februari 2011 @ 22:57:
LOL, ik heb vandaag ook Security+ gedaan, 845 punten

Examen was goed te doen (vrij simpel eigenlijk), na 35 minuten stond ik weer buiten.

[ Voor 56% gewijzigd door Equator op 01-03-2011 14:07 ]

LordMorgoth schreef op vrijdag 04 maart 2011 @ 14:58:
Hier is de kogel door de kerk. Ik ga eerst ENSA doen (cursus bij TSTC in Veenendaal) en daarna SSCP (zelfstudie en review dag bij DNV).

[ Voor 9% gewijzigd door j0rDy op 20-05-2011 10:53 ]

j0rDy schreef op dinsdag 22 februari 2011 @ 09:29:
Oh, en heb mezelf zojuist ingeschreven voor OSWP

LordMorgoth schreef op vrijdag 04 maart 2011 @ 14:58:
Hier is de kogel door de kerk. Ik ga eerst ENSA doen (cursus bij TSTC in Veenendaal) en daarna SSCP (zelfstudie en review dag bij DNV).

LordMorgoth schreef op vrijdag 20 mei 2011 @ 16:39:
Your Score: Pass - 84% (42 earned out of 50 possible)

Congratulations! You have successfully passed this exam.

In order to be considered for the EC-Council certification exam without attending official training at EC-Council Accredited training center, an applicant must:

a) Have at least two years of information security related experience.
b) Remit a non refundable eligibility application fee of USD 100.00 at our website http://www.eccouncil.org/orders.htm
C) Submit a completed Exam Eligibility Form.

LordMorgoth schreef op woensdag 19 oktober 2011 @ 00:29:
Heeft iemand hier al eens de online challenges van certified secure geprobeerd?

https://www.certifiedsecure.com/certificatedetails/security

LordMorgoth schreef op woensdag 19 oktober 2011 @ 00:29:
Heeft iemand hier al eens de online challenges van certified secure geprobeerd?

https://www.certifiedsecure.com/certificatedetails/security

LordMorgoth schreef op donderdag 20 oktober 2011 @ 22:56:
Blijkbaar ben je de enige hier

LordMorgoth schreef op maandag 31 oktober 2011 @ 20:55:
Het enige probleem is de endorsement; ik ken geen enkele SSCP of CISSP in good standing

LordMorgoth schreef op maandag 31 oktober 2011 @ 20:55:
ik ken geen enkele SSCP of CISSP in good standing

LordMorgoth schreef op vrijdag 04 november 2011 @ 10:27:
Ik heb gisteren op de infosecurity een uitgebreid gesprek gehad met een dame van ISC2. Met mijn werkervaring e.d. zou dat geen enkel probleem worden, dus da's ook weer mooi meegenomen

Nu enkel nog de c.v. vertalen...

LordMorgoth schreef op zaterdag 05 november 2011 @ 11:15:
De dame was van ISC2 zelf.

sh4d0wman schreef op dinsdag 14 augustus 2012 @ 10:50:
Hier een discussie: http://www.ethicalhacker..../Itemid,54/topic,8549.15/
Het snelste is wellicht even mailen met ECCouncil.

Weet je overigens zeker dat je CEH wil doen? Het heeft namelijk geen beste naam binnen de security wereld, alleen HR schijnt het leuk te vinden. Ik ben begonnen aan de Offensive Security trainingen. Een andere optie zou eLearnSecurity kunnen zijn.

sh4d0wman schreef op vrijdag 17 augustus 2012 @ 17:00:
Mocht je niet voor CCNA Sec. gaan dan moet je eens kijken naar eLearnSecurity, eCPPT. Dit zit een beetje tussen CEH en OSCP niveau in. Het voordeel is dat je labtime per uur kan afnemen (of per fixed aantal dagen). Het examen moet je binnen 120 dagen afnemen. Dit examen is minder spectaculair dan OSCP. Je download bij eCPPT een vulnerable image, deze moet je onderzoeken op zwakheden en vervolgens dien je een rapportage op te sturen.

Jheroun schreef op donderdag 10 januari 2013 @ 14:29:
Deze week het CISSP examen gehaald. Wat een zit zeg Maar het is dus gelukkig wel gelukt. De eerste 100 vragen gaan prima, de 100 daarna wordt het lastiger en na vraag 200 begon ik het echt zat te worden. Ik heb wel extreem mijn tijd genomen, ik ging na vijfenhalf uur naar buiten. Veel van de vragen zijn verwarrend gesteld, ik vond het beantwoorden een stuk makkelijker als ik de vraag voor mezelf anders verwoordde, maar dat kost dus wel meer tijd. Ik kwam niks tegen dat ik niet kende maar zag wel regelmatig vragen die zo brak gesteld waren dat het moeilijk was te bepalen waar ze heen wilden, en vragen die ik goed kon beantwoorden maar waarbij er geen duidelijk antwoord tussen de opties stond. De verdeling tussen de domeinen verbaasde mij een beetje, gevoelsmatig ging het grotendeels over governance/risk management, architecture/design, business continuity/disaster recovery en legal/investigations/compliance en veel minder over de overige domeinen.

In de voorbereiding heb ik een cursus gedaan en daarna vooral heel veel vragen geoefend. De study guide van Shon Harris (en de extra onlinevragen die daar ook nog bij zitten) vond ik vooral handig, iedere iteratie dat ik in één van de 10 gebieden vragen ging doen schoot mijn score omhoog Ik zou ook adviseren om een keer echt te gaan zitten om in één sessie (met een lunch & toiletbreak) 250 vragen te oefenen. 250 vragen geconcentreerd bezig blijven is een uitdaging op zich.

Ik ken voldoende CISSPs voor die endorsement en die ga ik ook eens vragen hoe zij dat mee te sturen CV hadden opgesteld. Ik heb nu m'n CV gepakt en er kort en bondig per functie bij gezet welke CBK domeinen daarbij kwamen kijken en waarom. Iemand hier ervaring met insturen en acceptatie van dat CV?

Jheroun schreef op donderdag 10 januari 2013 @ 15:29:
Ik werk al jaren in netwerkarchitectuur en daarvoor in design en operations, en dat alles bij één werkgever dus niet relevante opdrachten heb ik niet zoveel Ik vroeg me meer af hoe diep je dingen moet beschrijven, ik noem bijvoorbeeld bij een architectuurfunctie de relevantie van Business continuity planning, Disaster recovery en physical security vanuit locale/geografische/HVAC redundantie en de bouw van een hele nieuwe site. Dat leek mij voldoende, anders wordt zo'n CV een document van 10 paginas en die zullen ze sowieso niet gaan lezen gok ik, zeker niet als je endorsed wordt door een andere CISSP.

Jheroun schreef op donderdag 10 januari 2013 @ 14:29:
Deze week het CISSP examen gehaald. Wat een zit zeg

[ Voor 81% gewijzigd door Verwijderd op 22-03-2013 18:19 ]

ebia schreef op zondag 27 januari 2013 @ 23:15:
Normaliter mag je tijdens die Pearson VUE examens niet zomaar weglopen dacht ik... Maar ik neem aan dat ze dat niet kunnen handhaven bij een examen welke zes uur duurt.

Die examenlokalen hebben nogal een open karakter imho. Over een schouder meekijken is inderdaad een beetje opvallend, maar bijvoorbeeld spieken bij een ander als je het lokaal uitloopt is vaak wel mogelijk. En ook zitten allerhande examens vaak bij elkaar in één lokaal. Ik vraag me gewoon af hoe dat bij zo'n lang examen in z'n werk gaat, bijvoorbeeld als je even een kwartiertje break wilt.. Normaliter kun je ook niet zomaar inlopen zonder toezichthouder, etc...

Verwijderd schreef op vrijdag 22 maart 2013 @ 17:46:
Weet iemand of ik gewoon 'los' een CEH-certificaat kan 'boeken'? Weet dat het niet veel
waard is maar wil deze toch halen. Gewoon via Prometric?

#edit

Wat is nowadays (2013) de best way to go om mijzelf sterk neer te zetten in security?
Doe nog een HBO (TI), werk deels bij een bedrijf, doe veel in mijn vrije tijd, probeer de
ervaring op te doen en eBooks ^100 maar of ik sterk sta? Nee . Ben gewoon zwaar
ongelukkig in hetgeen ik nu doe en in gecertificeerd ben (Microsoft App-V, Windows
Server, SCOM-monitoring, Virtualisatie / VMWare, Citrix etc). Een baan in de security
zou ik écht ambiëren, maar ik heb het gevoel dat mijn leeftijd al behoorlijk in de weg
zit (27). Wil eigenlijk nu gewoon op eigen houtje (zelf aanschaffen) de nodige certificaten
binnen hengelen. Is dit de juiste weg? Of zie ik het té simpel?

Jheroun schreef op vrijdag 22 maart 2013 @ 19:31:
[...]

Breaks kan je gewoon nemen. Ik moest wel alle spullen die ik bij me had in een locker doen, mijn lunch had ik in een apart vakje daarvoor gezet. Ik zag geen lock optie in het examen ofzo ik ben ook gewoon weggelopen om even een hapje te eten en de benen te strekken. Ik zat bij global knowledge in het examenhok, echt zware controle zag ik niet maar er zal wel een camera gehangen hebben.

ebia schreef op vrijdag 22 maart 2013 @ 21:45:
[...]
Volgens mij kan dat wel, maar als je zonder behulp van de cursus examen wilt doen (en het volwaardige certificaat wilt hebben), moet je geloof ik wel door een soort screening heen van dat EC Council. Werkervaring in het vakgebied is dan wel gewenst.

ebia schreef op vrijdag 22 maart 2013 @ 21:45:
[...]
27? Absoluut niet te laat om een dergelijke change te maken. Certificaten gaan je helpen, maar werkervaring natuurlijk nog meer. Probeer dus ergens bij een security toko binnen te komen. Er zijn er genoeg die echt om techneuten met een achtergrond als de jouwe zitten te springen. In dit vak zitten ook genoeg 'softe' mensen, maar gezien de ernst en roep om 'echte' security zijn techneuten nu toch echt aan zet.

Kijk maar eens om je heen bij de grotere organisaties en detacheer- of consultancy clubs... daar zie ik de laatste tijd geregeld vacatures voor security engineers, pentesters, 'ethical hackers', etc. Het gebrek aan ervaring of kennis kan je over het algemeen goed maken door affiniteit te tonen en natuurlijk de security gerelateerde ervaring die je tot nu toe hebt opgedaan te benadrukken in je cv. Zeker op je huidige leeftijd ben je in het voordeel: je hebt al wat bagage en wat gezien van diverse omgevingen, maar je stelt waarschijnlijk nog geen hoge salariseisen en je hebt nog de drive om jezelf verder te ontwikkelen.

Ik zou wel prio 1 maken van je HBO. Dat blijft hét papiertje die jou op korte termijn gaat helpen de juiste functies in.

ebia schreef op vrijdag 22 maart 2013 @ 21:45:
Ok goed om te weten dat je gewoon weg kunt lopen zonder problemen. Er maar op vertrouwen dat niemand je examen saboteerd of iets, maar dat zal wel meevallen, de meesten zijn immers in zo'n lokaal meer bezig met zichzelf dan een ander

Ik ga ergens in juni op voor het examen, dat reeds is geboekt. Ben heel benieuwd! Heb ook een account genomen bij cccure om examenvragen te oefenen, dat bevalt prima voor die 30 dollar (ofzo) die het kost.

Waster schreef op zondag 07 april 2013 @ 15:29:
Ik ben zelf niet zo thuis in de wereld van penetration testing. Maar klopt het dat een penetration tester vooral zwakheden probeert op te sporen en uit te buiten in slecht geconfigureerde en niet up-to-date netwerken en systemen. Of houden penetration testers zich ook bezig met aanvallen op webapplicaties? Gebroken authenticatie, sessie management of CSRF attacks, etc.

Als software engineer ben ik zelf vooral geinteresseerd in beveiliging van webapplicaties. Netwerken en systeembeheer is buiten mijn scope. Ik vroeg me vooral af wat voor soort banen zich bezighouden met het ethisch hacken van webapplicaties?

Saybia schreef op zaterdag 01 juni 2013 @ 03:11:
Graag zou ik bij deze jullie hulp willen inroepen.
Ik kwam de volgende certificering tegen: GIAC Legal Issues in Information Technology & Security (GLEG) en deze lijkt mij erg interessant.

Echter vraag ik mij af of deze certificering een internationaal karakter heeft of meer voor de amerikaanse markt is, aangezien rechtsgebieden kunnen verschillen. Het enige wat ik kan vinden bij SANS is het volgende citaat: "Although this course Day Number 5 will center around American law, non-American law and the roles of non-American government authorities will be examined as well" Maar ja wat behandelen ze dan precies? Kent iemand dit certificaat? Of weet iemand een tegenhanger hiervan qua cursus?

Saybia schreef op zaterdag 01 juni 2013 @ 03:11:
Graag zou ik bij deze jullie hulp willen inroepen.
Ik kwam de volgende certificering tegen: GIAC Legal Issues in Information Technology & Security (GLEG) en deze lijkt mij erg interessant.

Echter vraag ik mij af of deze certificering een internationaal karakter heeft of meer voor de amerikaanse markt is, aangezien rechtsgebieden kunnen verschillen. Het enige wat ik kan vinden bij SANS is het volgende citaat: "Although this course Day Number 5 will center around American law, non-American law and the roles of non-American government authorities will be examined as well" Maar ja wat behandelen ze dan precies? Kent iemand dit certificaat? Of weet iemand een tegenhanger hiervan qua cursus?

[ Voor 12% gewijzigd door 0x0000007B op 11-04-2015 21:20 ]

0x0000007B schreef op woensdag 03 juli 2013 @ 13:34:
[...]


Ik heb meerdere SANS tracks gevolgd (plus certificering) en uit ervaring blijkt dat SANS over het algemeen meer gericht is op de Amerikaanse regelgeving, maar internationale regelgeving en gerelateerde problematiek komen wel ter sprake. Heb echter geen ervaring met LEG523: Law of Data Security and Investigations, gezien de track beschrijving verwacht ik dat hier meer aandacht zal zijn voor internationale regelgeving. Ik kan dit later dit jaar voor je navragen aangezien ik een live track ga volgen.

Overigens voor degene die een SANS track willen volgen zou ik aanraden om te kiezen voor de grote events in de US. Je krijgt dan vaak les van de courseware auteurs, mega vendor market, meer lezingen, lunch sessies en soms ook meetings met branch-genoten en daarnaast worden deze events vaak op leuke locaties gehouden (Las Vegas, Washinghton DC )

P.s. Ik heb de volgende SANS tracks gevolgd:
SEC401: Security Essentials Bootcamp Style
SEC504: Hacker Techniques, Exploits & Incident Handling
SEC506: Securing Linux/Unix
SEC560: Network Penetration Testing and Ethical Hacking
SEC580: Metasploit Kung Fu for Enterprise Pen Testing
FOR508: Advanced Computer Forensic Analysis and Incident Response
En later dit jaar:
SEC660: Advanced Penetration Testing, Exploits, and Ethical Hacking

barcawinner schreef op maandag 22 juli 2013 @ 12:51:
Trek ik de juiste conclusie als ik denk dat CEH een goede certificering als starter is, en CISSP voor een senior functie?

photofreak schreef op zondag 07 april 2013 @ 18:56:
Verder zit er ook een verschil tussen een audit en een penetratietest.
Een audit is over het algemeen alleen oppervlakkige lekken vinden en bij een penetratietest is het doel van de auditer om zo diep mogelijk in het systeem te komen en alle gevonden informatie daarbij te gebruiken.

ebia schreef op maandag 22 juli 2013 @ 17:27:
Om de titel CISSP te krijgen moet je niet alleen het examen succesvol afronden, maar er worden ook eisen gesteld aan je werkervaring.

[ Voor 42% gewijzigd door Liegebeest op 17-08-2013 14:35 ]

[ Voor 16% gewijzigd door Boudewijn op 13-09-2013 13:07 ]

fcoppens schreef op woensdag 16 oktober 2013 @ 23:36:
3 weken geleden ben ik geslaagd voor het examen CEH V8. Ik vond het best pittig omdat dit mijn eerste opleiding + examen is in de security.

Ik ben iets meer dan 10 jaar systeem -en netwerkbeheerder maar kreeg, zoals een aantal van jullie, steeds meer security-achtige taken erbij. Als systeem -en netwerkbeheerder deed ik af en toe wel wat cursussen (geen examen). Nu ik CEH heb gedaan heb ik me voorgenomen security goed bij te gaan houden en er steeds dieper in te gaan. Mijn planning is 1 à 2 securityopleidingen per jaar.

Nu zit ik eigenlijk met de vraag, ik heb CEH gedaan maar wat nu?
Ik heb veel gelezen over CISSP maar denk dat dat nog te vroeg komt, ik denk dat ik dan eerst de nodige ervaring in de security moet opdoen.
Ik heb als vervolg op CEH ook zitten lezen ECSA/LPT maar weet niet of dat wat is. Wie kan mij adviseren?

Alvast bedankt!

Boudewijn schreef op donderdag 17 oktober 2013 @ 01:37:
En waarom?

[ Voor 28% gewijzigd door Boudewijn op 17-10-2013 13:03 ]

[ Voor 20% gewijzigd door fcoppens op 17-10-2013 16:13 ]

Boudewijn schreef op donderdag 17 oktober 2013 @ 11:46:
Ah ja daarom is ie goed, dat was ik even vergeten.

offtopic:
Omdat iets ook van ISC^2 is iets goed noemen? Dat is exact wat ik tegen veel CISSP mensen heb. Gewoon dom een papiertje halen en alsnog er geen ruk van snappen.

Neem me niet kwalijk, maar ik werk in de infosec en zie zo gruwelijk veel mensen met CISSP voorbij komen tegen belachelijke fees die echt gewoon he-le-maal niets kunnen.

[ Voor 5% gewijzigd door Rukapul op 17-10-2013 19:23 ]

Rukapul schreef op donderdag 17 oktober 2013 @ 19:17:
[...]

Het echte bezwaar van CISSP is dan wellicht ook dat het vooral de security manager types zijn die hem voeren en veel minder de security techneuten. En het probleem van security manager types is dat er eigenlijk teveel zijn en vragen en problemen vooral heen en weer geschoven worden ipv beantwoord en opgelost worden.

fcoppens schreef op donderdag 17 oktober 2013 @ 23:59:
[...]


Beste Rukapul,
Als ik jou verhaal zo lees wordt CISSP vooral gebruikt door security managers. Ik zie mezelf momenteel meer als echte techneut, ik ben zeker geen manager. Wat zou je dan voor opleiding adviseren? Ik heb CEH gedaan en wil nog meer verschillende opleidingen doen in de Security.

Frank